El trabajo a menudo me lleva a entablar conversaciones con clientes sobre seguridad cibernética, sus programas, su comprensión de lo que significa la seguridad y cómo implementarla en sus organizaciones.
Entre los diversos temas, uno particularmente recurrente está representado por el Inteligencia de amenazas cibernéticas.
Habiendo aparecido en el mercado desde hace siete u ocho años, a menudo se los ve como el Santo Grial para identificar a un atacante interesado antes de que ataque o, en el peor de los casos, tan pronto como aparezcan signos de compromiso. punto final o redes.
Comencemos con una definición simple de Inteligencia, la elaboración de información predictiva basada en ciertas evidencias, para aprender del mundo militar cómo evitar que las inversiones incluso en importantes CTI tengan un rendimiento cero.
En el ámbito militar, la fase de recogida de información es precedida por otra de crucial importancia y muchas veces subestimada: la planificación y la dirección, en la que los órganos de mando definen los objetivos de información que se consideran necesarios para sus propias decisiones.
Esto es así para que la recopilación no sea un fin en sí mismo o un amplio espectro, sino extremadamente focalizada y enfocada; Hace 2500 años, un famoso estratega militar chino, Sun Tzu, recomendó conocer a tu enemigo y a ti mismo, ¡en ese orden!
Conocete a ti mismo significa tener una visibilidad precisa y completa de cómo se compone la biodiversidad digital: dónde están los recursos, de qué tipo son (elementos móviles, servidores, recursos en la nube, contenedores de aplicaciones, aplicaciones web…).
Luego defina su observabilidad: ¿es posible fragmentar y reensamblar, agregar y detallar, interrogar y abstraer información accesible de los metadatos en el entorno digital, en función de los casos de uso de cada uno?
Y una vez que haya hecho un inventario de su horizonte de TI, ¿qué tan fácil es asignar un nivel de criticidad a los recursos?
Esto significa conocerte a ti mismo, y es conditio sine qua non para proceder a conocer a tu enemigo que define la forma de consumir CTI.
Que en el ámbito militar se divide en tres fases: Procesamiento, Producción de Información, Difusión. Tres fases que poco o nada tienen que ver con el proveedor de CTI, pero que frecuentemente ven fracasos de proyectos muy prometedores tanto en términos de presupuesto como de calidad de los feeds.
latransformación se trata de la capacidad de categorizar la información del feed, correlacionarlos entre sí y con información de terceros, para evaluar su importancia. Esta capacidad debe estar presente y posiblemente ejercerse con recursos propios, ya que la rapidez, agilidad y dinamismo son características importantes para generar valor.
La producción de información amplía aún más lo calificado en la fase anterior, transformando datos no homogéneos en información utilizable gracias al análisis de metadatos normalizados.
Completa el ciclo de consumo de amenaza cibernética inteligencia la etapa de divulgar, que consiste en la distribución de la información reelaborada para soportar el mayor número de procesos posibles.
Estas dos últimas fases requieren un conocimiento profundo de los potenciales usuarios de la información, así como una plataforma tecnológica que soporte la transformación.
Finalmente, ayuda a comprender los tres tipos posibles de inteligencia de amenazas cibernéticas que caracterizan la operación de recolección, con el fin de prefigurar modelos de categorización y consumo en los procesos que se mencionan a continuación, así como determinar el grado de obsolescencia de la información.
El primer tipo es el CTI estratégico: compuesto por análisis e información que suelen tener una duración de varios años, se centra en el quién y el por qué en relación con determinados atacantes.
Generalmente desarrollado para una audiencia no técnica, se basa en el análisis de demografía victimológica, en campañas de ataque macroscópicas y tiene como objetivo la clasificación de grupos de ataque y motivaciones (hacktivismo, finanzas, política, patrocinio de los estados…). Existen varias categorizaciones, por ejemplo la proporcionada por Mandiant (parte del grupo FireEye) basada en acrónimos que contienen la motivación y un número progresivo: APT para Advanced Persistent Threat, FIN para Financial, etc.
El segundo tipo es el CTI operativo, centrado en exponer el cómo y el dónde. Desarrollado para usuarios técnicos y no técnicos, describe elementos como herramientas, técnicas y procedimientos (o TTP) que se utilizan para realizar un ataque.
Presenta rasgos característicos como la persistencia, las técnicas de comunicación empleadas, la descripción de metodologías y reglas.
Por ejemplo, ilustra técnicas de ingeniería social o modus operandi de familias de malware.
El tercer tipo es el Tácticas CTI, que representa tanto la forma más digerible como aquella cuyo consumo requiere menos madurez. Dirigido a una audiencia técnica, describe eventos de seguridad, ejemplos de malware o correos electrónicos de phishing.
Incluye firmas para reconocer malware e indicadores de ataque o compromiso (IoA, IoC) como IP, dominios, archivos hash, que se pueden implementar fácilmente para aumentar las defensas de perímetro, monitoreo y respuesta para bloquear intentos o mitigar situaciones de compromiso.
Si es cierto que el uso completo de los tres formularios suele ser un problema más de necesidad que de presupuesto, incluso cuando se satisfacen estas dos condiciones, la cuestión se convierte en otra.
Un proceso virtuoso debe conducir a la coordinación mutua entre los resultados de los tres diferentes niveles de alimentación, que no deben funcionar como "silos": las fuentes del nivel estratégico pueden utilizarse para orientar y refinar la búsqueda de información a nivel operativo y táctico; De manera similar, los hallazgos de inteligencia específicos a nivel táctico pueden ayudar a redefinir los objetivos informativos de la investigación a nivel estratégico.
Esta situación en ocasiones se ve agravada por la falta de capacidad de comunicación entre el nivel de gestión técnica y el nivel estratégico, con un impacto directo en la fase de planificación y gestión que incide en la definición de objetivos claros y compartidos; contaminando así todo el valor, a favor de gastos por sistemas o tecnologías redundantes o solo útiles para la solución de un problema específico.
Concluyo este breve análisis con tres preguntas para ayudar a comprender qué tipo, alimento o proveedor de CTI es el adecuado para usted.
¿Los objetivos que apoya la colección CTI son claros, bien definidos en sustancia y perímetro?
¿Cuál es la capacidad de consumir los tres tipos de CTI? Incluso con el tiempo, esta respuesta puede evolucionar y expandirse
¿Están disponibles en suficiente medida los recursos y el nivel de especialización para consumir CTI de una manera tangible y que produzca valor?
Como en el ejército, en el seguridad cibernética La respuesta honesta a estas tres preguntas calificará la necesidad y la naturaleza de CTI, de modo que, parafraseando a Sun Tzu, conociéndote a ti mismo como el enemigo, incluso en medio de cien batallas nunca estás en peligro.
